開啟或關閉稽核

  • 發行項

使用 Microsoft 365 和 Office 365 企業版的組織,預設會開啟 [稽核記錄]。 不過,設定新的 Microsoft 365 或Office 365組織時,您應該確認組織的稽核狀態。 如需指示,請參閱本文中的 驗證貴組織的稽核狀態 一節。

開啟Microsoft Purview 合規性入口網站中的稽核時,組織的使用者和系統管理員活動會記錄在稽核記錄中,並保留 90 天,並根據指派給使用者的授權,保留最多一年。 不過,您的組織可能有不想記錄和保留稽核記錄資料的原因。 在這些情況下,全域系統管理員可能會決定關閉 Microsoft 365 中的稽核。

重要事項

如果您在 Microsoft 365 中關閉稽核,就無法使用Office 365管理活動 API 或 Microsoft Sentinel 來存取組織的稽核資料。 依照本文中的步驟關閉稽核,表示當您使用合規性入口網站搜尋稽核記錄,或在 Exchange Online PowerShell 中執行Search-UnifiedAuditLog Cmdlet 時,不會傳回任何結果。 這也表示稽核記錄無法透過Office 365管理活動 API 或 Microsoft Sentinel 來使用。

提示

如果您不是 E5 客戶,請使用 90 天的 Microsoft Purview 解決方案試用版來探索其他 Purview 功能如何協助貴組織管理資料安全性與合規性需求。 立即從Microsoft Purview 合規性入口網站試用中樞開始。 瞭解 有關註冊和試用版條款的詳細資料

開啟或關閉稽核之前

  • 您必須在 Exchange Online 中獲指派稽核記錄角色,才能在 Microsoft 365 組織中開啟或關閉稽核。 根據預設,此角色會指派給 Exchange 系統管理中心 [許可權] 頁面上的[合規性管理] 和 [組織管理] 角色群組。 Microsoft 365 中的全域系統管理員是Exchange Online中 *組織管理角色群組的成員。

    注意事項

    使用者必須在Exchange Online中獲指派許可權,才能開啟或關閉稽核。 如果您在合規性入口網站的 [許可權 ] 頁面上 將稽核記錄角色指派給使用者,他們將無法開啟或關閉稽核。 這是因為基礎 Cmdlet 是Exchange Online PowerShell Cmdlet。

  • 如需搜尋稽核記錄的逐步指示,請參閱 搜尋稽核記錄

  • 如需 Microsoft 365 管理活動 API 的詳細資訊,請參 閱開始使用 Microsoft 365 管理 API

確認組織的稽核狀態

若要確認已為您的組織開啟稽核,您可以在Exchange Online PowerShell中執行下列命令:

Get-AdminAuditLogConfig | Format-List UnifiedAuditLogIngestionEnabled

UnifiedAuditLogIngestionEnabled屬性的 True 值表示已開啟稽核。 的 False 值表示稽核未開啟。

重要事項

請務必在 Exchange Online PowerShell 中執行先前的命令。 雖然 Get-AdminAuditLogConfig Cmdlet 也可在安全 & 性合規性 PowerShell 中使用,但 UnifiedAuditLogIngestionEnabled 屬性一律 False 為 ,即使開啟稽核也一樣。

開啟稽核

如果未為您的組織開啟稽核,您可以在合規性入口網站中或使用 Exchange Online PowerShell 來開啟稽核。 開啟稽核後可能需要數小時的時間,您才能在搜尋稽核記錄檔時傳回結果。

使用合規性入口網站開啟稽核

  1. 在 的Microsoft Purview 合規性入口網站 https://compliance.microsoft.com 中,移至[解決方案>稽核]。 或者,若要直接移至 [稽核 ] 頁面,請使用 https://compliance.microsoft.com/auditlogsearch

  2. 如果未為您的組織開啟稽核,則會顯示橫幅,提示您開始錄製使用者和系統管理員活動。

    稽核頁面上的橫幅。

  3. 選取 [開始錄製使用者和系統管理員活動 ] 橫幅。

    變更最多可能需要 60 分鐘才會生效。

使用 PowerShell 開啟稽核

  1. 連線至 Exchange Online PowerShell

  2. 執行下列 PowerShell 命令以開啟稽核。

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true

    顯示訊息,指出變更最多可能需要 60 分鐘才會生效。

關閉稽核

您必須使用 Exchange Online PowerShell 來關閉稽核。

  1. 連線至 Exchange Online PowerShell

  2. 執行下列 PowerShell 命令以關閉稽核。

    Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false

  3. 一段時間之後,請確認稽核已關閉 (停用) 。 執行這項作業的方法有兩種:

    • 在 Exchange Online PowerShell 中,執行下列命令:

      Get-AdminAuditLogConfig | FL UnifiedAuditLogIngestionEnabled

      UnifiedAuditLogIngestionEnabled屬性的 False 值表示稽核已關閉。

    • 移至合規性入口網站中的 [ 核] 頁面。

      如果未為您的組織開啟稽核,則會顯示橫幅,提示您開始錄製使用者和系統管理員活動。

稽核狀態變更時的稽核記錄

系統會稽核貴組織中稽核狀態的變更。 這表示稽核記錄會在開啟或關閉稽核時記錄。 您可以在 Exchange 系統管理員稽核記錄中搜尋這些稽核記錄。

若要在 Exchange 系統管理員稽核記錄中搜尋開啟或關閉稽核時產生的稽核記錄,請在 Exchange Online PowerShell中執行下列命令:

Search-AdminAuditLog -Cmdlets Set-AdminAuditLogConfig -Parameters UnifiedAuditLogIngestionEnabled

這些事件的稽核記錄包含稽核狀態變更的相關資訊、變更該事件的系統管理員,以及用來進行變更之電腦的 IP 位址。 下列螢幕擷取畫面顯示與變更組織中的稽核狀態相對應的稽核記錄。

開啟稽核的稽核記錄

開啟稽核的稽核記錄

CmdletParameters屬性中的 值 Confirm 表示已在合規性入口網站中開啟統一稽核記錄,或執行Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $true Cmdlet。

關閉稽核的稽核記錄

關閉稽核的稽核記錄

的值 Confirm 不包含在 CmdletParameters 屬性中。 這表示已藉由執行 Set-AdminAuditLogConfig -UnifiedAuditLogIngestionEnabled $false 命令來關閉整合稽核記錄。

如需搜尋 Exchange 系統管理員稽核記錄的詳細資訊,請 參閱 Search-AdminAuditLog